WLAN/ WPA2 Sicherheitslücke
#16
geschrieben 03. November 2017 - 13:51
das geht auch beim Lappi und nochmal HTTPS + SMS TAN oder TAN Generator sind eigentlich recht sicher wenn man nicht dauernd sein Handy mit PC synct und sich irgend einen Banking Trojaner eingefangen hat.
Und selbs Tan Generatoren wurden schon überlistet siehe hier https://www.heise.de...us-2356713.html
weil der User so blöd war nochmal aufs Display zu schauen was da für ne Summe stand..
Anzeige
#17 _d4rkn3ss4ev3r_
geschrieben 03. November 2017 - 16:08
Wenn man natürlich nicht in die URL Zeile guckt und schaut ob da wirklich die Bank Domain steht, geschweige denn die Daten auf dem Generator prüft, hilft keine Technik.
SMS TAN würde ich nicht empfehlen. Das hat einen zu großen Angriffsfaktor
#18
geschrieben 03. November 2017 - 16:21
Zitat (d4rkn3ss4ev3r: 03. November 2017 - 16:08)
Welchen? Online Banking und Sicherheitsprüfung auf einem Gerät ist natürlich schlecht. Aber solang man Online Banking auf dem Computer macht und die SMS auf dem Smartphon empfängt, sollte dies durch den Umstand dass das Smartphone als SMS Empfänger ein eigenenständiges Gerät ist, genauso sicher sein wie ein TAN Generator der auch ein eigenständiges Gerät darstellt. Das könnte man nur umgehen in dem man sich eine Kopie der SIM Karte besorgt. Was aber extra Aufwand erfordert und nicht eben mal so online gemacht werden kann.
Dieser Beitrag wurde von Gispelmob bearbeitet: 03. November 2017 - 16:22
#19 _d4rkn3ss4ev3r_
geschrieben 03. November 2017 - 17:49
SMS-Tan daher: Nein.
Tan-Generator: Ja.
#20
geschrieben 03. November 2017 - 18:04
Zitat (d4rkn3ss4ev3r: 03. November 2017 - 17:49)
Umd das zu knacken, braucht der Angreifer aber überhaupt erst mal deine Telefonnummer. Und auch sonst sind diese Angriffsmöglichkeiten alle sehr theoretisch. Es ist doch nicht so, dass jeder so leicht wie bei einem Windows-Activation-Hack sich mal eben in deine Leitung hacken kann.
Also da bin ich Normalo bei meinem Telefon-Banking und SMS-TAN ganz entspannt. Bei anderen (wichtigeren) Leuten mag das anders sein.
#21 _d4rkn3ss4ev3r_
geschrieben 03. November 2017 - 18:40
Gerade Normalos schauen weniger auf ihre Kontoauszüge als welche mit viel Geld drauf.
Und Handynummer rausbekommen ist im Zeitalter von Social Engineering keine große Hürde.
#22
geschrieben 03. November 2017 - 21:35
Zitat (d4rkn3ss4ev3r: 03. November 2017 - 18:40)
Gerade Normalos schauen weniger auf ihre Kontoauszüge als welche mit viel Geld drauf.
So so ... ja ja ... mit dem Thema hat es WAS zu tun?
Zitat (d4rkn3ss4ev3r: 03. November 2017 - 18:40)
Und selbst wenn man die Telenummer hat (Handynummer = IMEI?? Oder was meinst du? ). Wie geht es dann weiter?
Man sollte nicht alle Laborfälle auf den Normaluser übertragen.
#23
geschrieben 04. November 2017 - 06:52
Zitat (dale: 01. November 2017 - 09:07)
alle Mailclients nutzen TLS oder SSL
Onlinebanking SSL und noch dazu hängt fast alles bei mir am Kabel.
Eh, Du bist da sicherlich kein gutes Allgemeinbeispiel: bei Dir kann ich mir das noch vorstellen, daß Du das WLAN vom LAN getrennt hast.
Die anderen? Einmal ins WLAN reingepatcht und schon kann aufs NAS und die Passwortlisten im .txt/.doc/.xls-Format zugegriffen werden.
Wobei ich diese Patches kritisch sehe. "Alle" schmeißen was raus und nennen das "Patch", aber was die machen... "ja dann ist das Problem weg".
Wenn man sich anschaut, wo die Schwachstelle liegt, kann so ein Patch ja nur den WLAN-Standard verletzen oder - was war's - 802.11s deimplementieren. Aber das hätte ich dann schon gerne gewußt, was das Zeuch macht.
Plus, aber das geht allgemein in die Runde: Vergeßt endlich dieses Märchen mit den MAC-Filtern. Jedes(!) WLAN-Paket, welches von irgendwem gesendet wird, beinhaltet die MAC-Adresse des Clients - unverschlüsselt. Ein son Paket abgefangen und das in mein Paket reingeschrieben und euer MAC-Filter interessiert mich nicht mehr. Das ist Augenwischerei.
Für Zugangskontrolle, die nicht auf "jeder der kommt darf rein wenn er den Schlüssel kennt oder ausfindig macht" rauslaufen soll, bleibt nur WPA-Enterprise; das ist zwar aufwendig zu konfigurieren, aber dafür kann man dann tatsächlich sagen, ich darf und du darfst nicht, weil man sich dann am WLAN nicht mit dem PSK, sondern mit Benutzernamen und Kennwort anmeldet (oder Zertifikaten, aber das ist nicht unbedingt notwendig).
Note: Sowas geht mit Fritzboxen nicht, denn die sind laut offizieller Aussage AVMs keine Netzwerkgeräte.
Dieser Beitrag wurde von RalphS bearbeitet: 04. November 2017 - 06:54
#24
geschrieben 04. November 2017 - 10:15
Zu den Patches stimme ich auch zu z.B. Sophos hat noch nix draussen für ihre APS die an der UTM hängen da dort auch nur Geräte dran hängen die SSL erzwingen macht uns das noch kein Kopfweh.